Предотвращение атак Javascript и XSS

Я защищаю свой веб-сайт от атак javascript и xss. Он написан на веб-формах ASP.NET.

Основная часть, которую я хотел бы протестировать, - это пользовательский элемент управления с текстовым полем (к нему прикреплен tinyMCE).

Пользователи могут отправлять истории на сайт, написав в этом текстовом поле. Мне пришлось установить validateRequest в false, поскольку я хочу получать истории пользователей в HMTL (tinyMCE).

Как мне предотвратить атаки javascript-xss? Поскольку истории пользователей представляют собой тексты HMTL, я не могу использовать Server.HtmlEncode в их историях. В общем, как безопасный способ получать HTML-контент от пользователя, сохранять и затем отображать его для пользователей?

Если один пользователь помещает вредоносный код в текстовое поле и отправляет его, есть ли вероятность, что это может нанести вред другим людям, просматривающим этот текст?
Спасибо.